Depuis la rentrée de septembre, je reçois ainsi que mes associés de YesWeHack, de nombreuses demandes de sociétés à la recherche d’une seule et même chose : des pentesteurs.
Les besoins en pentest augmentent notamment à cause du RGPD et de l’obligation de moyens à laquelle doivent répondre les sociétés pour s’y conformer.
Malheureusement, recruter des pentesteurs est très compliqué, et elles se confrontent à une pénurie chronique (et s’aggravant) de profils cybersécurité sur le marché du travail.
Pas assez de candidats, car pas assez d’écoles et pas assez de formations. D’après l'(ISC)², il y aurait actuellement une « pénurie mondiale d’environ 3 millions de profils cybersécurité« .
Autant dire qu’il faudra de nombreuses année pour résorber tout cela, sachant que la demande ne cesse de croître en parallèle.
Les entreprises en mal de recrutement se tournent alors vers les sociétés spécialisées en cybersécurité offrant des prestations de pentests, mais ces derniers ne peuvent répondre à la demande, tant leur carnet de commandes est déjà rempli. De plus, elles sont confrontées au même problème de recrutement d’experts en sécurité que leurs clients.
Bref, c’est assez tendu en ce moment et tout le monde commence à désespérer, RSSI en tête.
Alors en attendant, comment répondre à vos besoins pressants de pentests, sans pour autant dépenser des fortunes ni reporter vos audits aux calendes grecques ?
Et bien la réponse tient en 2 jolis mots d’anglais : Crowdsourced Security.
Autrement dit, le Bug Bounty qui permet de s’appuyer sur une communauté illimitée d’experts en sécurité capables de pentester les applicatifs, webservices, objets connectés, etc. Cela permet aux entreprises avec des besoins de pentests d’assurer leur maintien en condition de sécurité, malgré un marché du recrutement ultra-tendu.
Chez YesWeHack, épaulés par nos 6 000 chercheurs en sécurité, nous sommes capables de répondre à ce besoin immédiatement, sans aucune difficulté. D’ailleurs, nos clients comme Blablacar, Dailymotion, Qwant ou encore OVH pour ne citer qu’eux, l’ont bien compris et continuent à sécuriser sereinement leurs périmètres malgré la crise du recrutement et des prestataires toujours plus débordés.
Ils réduisent ainsi le délai entre l’apparition et la détection des vulnérabilités, tout en accélérant leurs développements et mises à jour sans avoir besoin d’attendre les résultats du prochain audit.
Ainsi, ils gardent la maîtrise de leur budget, du périmètre testé, de la durée et de la profondeur des tests, tout en s’appuyant sur une plateforme de confiance.
Voilà, j’espère que le message est passé. Si vous êtes confronté à ces difficultés relatives aux pentests, n’attendez plus et contactez-nous.
Bonne fin de semaine à tous !